jsp中判断权限,若没有登录,则不能访问

最新推荐文章于 2022-09-17 15:41:40 发布
原创 最新推荐文章于 2022-09-17 15:41:40 发布 · 3.2k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jsp #javascript #string #include #session #java

本文介绍了一个使用JSP实现的简单权限过滤器示例。该示例通过判断当前登录用户的用户名是否为admin来决定是否允许访问特定页面。若用户不是管理员,则将跳转至首页。

在jsp中加

<jsp:include page="permission_adminfilter.jsp"/>

permission_adminfilter.jsp中内容如下:

<%@ page language="java" contentType="text/html;charset=GBK" %>
<%
   request.setCharacterEncoding("GBK");
   String loginUserName = (String)session.getAttribute("session_loginname");
   if(!"admin".equals(loginUserName)){
      %>
      <script language="JavaScript" type="text/javascript">
      alert("您无权访问该页面!");
      top.location.href="../index.jsp";
      </script>
      <%  
    }
%>

永宁河
关注
servlet+jsp实现过滤器 防止用户未登录访问
10-17
主要为大家详细介绍了servlet+jsp实现过滤器,防止用户未登录访问,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
jsp 判断是否登录
05-24
【标题】"jsp 判断是否登录"涉及到的知识点主要集中在Web开发中的用户身份验证和页面权限控制。在Java服务器页面(JSP)中,我们通常会利用Servlet和Session技术来实现用户登录状态的判断。 首先,理解用户登录过程...
jsp实现网站浏览过滤器(没有登录不能访问其他网页)
LCreator的博客
01-02 2286
在我们制作一个网站项目,或是一个系统的时候,假如我们没有对这个系统做一些过滤的时候,我们只要记住这个网站里面的一些服务的网址,直接在浏览器里面输入这个网址就能访问这个访问了,那么登录功能还有什么用呢???还有的是有些服务可能要vip才能用的,没有一些浏览的过滤。没有登录访问网站其他页面,网站的服务,网站系统就会很乱,很不安全。大家都能进,不合逻辑。 在jsp解决这个问题,用sessio
javajsp_没有登录不能访问非index.jspJSP页面
weixin_30449673的博客
02-23 353
loginFilter.java/*** loginFilter.java*/package myFilter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.S...
servlet+jsp实现过滤器,防止用户未登录访问
热门推荐
沉默的鲨鱼的专栏
05-05 6万+
我们可能经常会用到这一功能,比如有时,我们不希望用户没有进行登录访问后台的操作页面,而且这样的非法访问会让系统极为的不安全,所以我们常常需要进行登录才授权访问其它页面,否则只会出现登录页面,当然我的思路: 一种是在jsp页面进行session判断,如果不存在该用户的session,就跳转到登录页面,否则执行jsp页面代码,但是你会发现这样做逻辑也简单,但是非常麻烦,如果有很多个jsp,那么就要
JSPJSP验证用户是否登录
LZGS_4的专栏
03-31 1156
在项目开发过程中有些页面需要经过用户登录才能访问,不做登录验证的话用户直接在浏览器的地址栏输入访问页面就能访问,所以在需要登录才能显示的页面增加验证:。 JSP 页面验证,涉及知识有Session,网页权限, 用户验证等。 session对象 session对象用来存储有关用户会话的所有信息,一个会话就是浏览器与服务器之间的一次通话,它包含浏览器与服务器之间的多次请求、响应过程。sessio
精选资源
基于jsp的动态效果的登录页面
03-23
2. 验证用户权限:根据用户的登录信息,判断用户是否有访问系统的权限。 3. 会话管理:如果登录成功,创建并设置Session,以跟踪用户的登录状态。 五、安全考虑 创建登录页面时,必须考虑到安全性问题: 1. 数据...
基于SessionJSP页面用户权限验证实现
标签中列出的“JSP, Session, 用户验证, 权限验证, 网页安全, 登录验证, 访问控制, 安全性, 无权限访问, 网页权限”几乎涵盖了整个Web应用安全的基础要素。它们之间的关系如下:以**JSP**为表现层技术载体,利用**...
精选资源
Login-register:#登录-注册页 1.访问reg 显示注册页面, 输入用户和密码.通过post的方式提交表单到reg,后台可以注册用户。 然后跳转到登陆页面login。 2.get请求访问登陆页面login, 输入用户名和密码,然后通过post方式提交表单到login, 后台判断用户和密码是否正确,如果正确, 则把用户信息放入session,并返回主页home。在主页显示用户名 3.需要权限判断,如果未登陆,只能访问注册和登陆。如果已登陆 只能访问主页home.如果不符合要求,则提示没有
05-08
#登录-注册页 1.访问/reg 显示注册页面, 输入用户和密码.通过post的方式提交表单到/reg,后台可以注册用户。 然后跳转到登陆页面/login。 ...如果不符合要求,则提示没有授权。 4.(可选)发表文章和显示文章的功能
jspsession判断用户是否登陆问题?
进击30K的专栏
10-30 6175
没有登陆时可以跳转页面! 登陆后就不能跳转了 这是登陆验证的代码:   在Action 中写的             String userEmail=request.getParameter("userEmail");     String userPass=request.getParameter("userPass");     UserInfo item=biz.
jsp登录权限设置命令
05-07
命令跳转,在java web中运用jstl进行用户登录权限设置
JSP 页面访问用户验证
09-29
jsp安全性问题,当别人知道某个jsp文件的网址后就可以跳过登陆页面直接访问jsp文件了,这样无法禁止外部无权限用户的访问。本文讨论内容是通过权限验证的用户,才可以访问特定的页面。 JSP 页面验证,涉及到的知识有Session, 网页权限, 用户验证等。
javaweb中如果用户没有登录不能访问别的页面,只能访问登录页面
sdzhangshulong的博客
04-11 3万+
需要用拦截器,先写一个拦截器的工具类! package rihong.send.util; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.Servl
SSM框架Filter登录后对权限进行甄别,没有权限不可访问指定页面
疯火连城
03-24 769
之前写了关于SSM框架中利用Filter不登陆拦截访问 如果用户没有登录直接访问的话 所有请求全部转到登录页面登录才可访问 以此实现了初步的安全管理 之前去面试也是被问到了这个问题 ps:讲真,现在真的有好多安全控件儿,用这个的还能有多少 好吧,作为基础,毕竟笔者也是新人一枚 话说回来,讲到之前面试被问到这个问题 也就是,在登录成功之后,那么后续的 比如一些只有leader才能使...
asp.net 用户页面权限判断
baimanmu3398的博客
01-09 382
public class BasePage : System.Web.UI.Page { protected override void OnInit(EventArgs e) { base.OnInit(e); if (Session["User"] == null...
springmvc实现方法拦截,用户未登录不能访问
qq_34438665的博客
06-09 2343
通常我们在做网站的时候,通常有一些页面是用户未登录不能访问的,因此我们需要实现方法拦截,当访问这些页面时我们要让用户跳到用户登录页面登陆。 第一步:在springmvc.xml中配置拦截器<!-- SPringmvc的拦截器 --> <mvc:interceptors> <!-- 多个拦截器 --> <mvc:interceptor>
基于eclipse的登陆拦截小应用(未登录不得浏览网页内部)详解版
qq_60567426的博客
09-17 646
这里是在配置filterconfig,这里写的内容将会被public void init(FilterConfig filterConfig) 方法进行初始化,filterName是给拦截器取个名字,urlPatterns里面装的是哪些文件将被拦截器作用(SELECT.jsp可以删去,因为我没有这个文件连了数据库,而且我也贴出来,不过也不影响运行),initParams里面是填写你想的参数,可以自定义,格式如图,name就是你给参数取得名字,value就是参数等于多少。我直接懵掉,session是个啥?
防止用户直接访问jsp页面的几种办法
Nio96的专栏
03-17 6534
防止用户直接访问jsp页面的几种办法:   1.把JSP页面放在WEB-INF目录下,存放在此目录或者它的子目录里的任何东西都受到了保护。 不过,不太推荐,因为并非所有的容器都具有这种保护机制,例如WebLogic就做不到这一点。  2.使用servlet过滤器来过滤对jsp页面的请求。  3.在部署文件web.xml中使用安全限制.这个比过滤
Jsp登录
Brin
11-29 937
问题:在设计网站时遇到这种问题“未登录用户访问登录用户才能访问的页面,就是跳过登录访问登录后才能访问页面”,比如某个网站的主页只有登录了才能够访问,但是直接访问时发现竟然还可以访问。 这种问题的解决方法有好几种:1、在每个页面设置判断用户是否登录,若登陆在进入该页面,否则转入登录页面 2、设置一个登录过滤器filter,对每个页面进行过滤,要访问某个页面时,通过过滤器先判断是否登录,在选择是否
jsp页面进行权限现在 不登录无法进行访问
最新发布
08-12
<think>我们需要实现一个权限控制机制,确保用户在没有登录的情况下无法访问特定的JSP页面。通常,我们会使用过滤器(Filter)来拦截请求,检查用户是否已经登录(通常通过Session中是否存在用户信息来判断)。如果未登录,则重定向到登录页面。 以下是实现步骤: 1. 创建一个过滤器(例如:AuthenticationFilter),用于拦截需要权限控制的请求。 2. 在过滤器中,检查用户是否登录(检查Session中是否有用户对象)。 3. 如果未登录,则重定向到登录页面。 4. 配置过滤器,使其拦截需要权限控制的URL(例如:所有JSP页面,或者特定的路径)。 注意:通常登录页面本身和登录处理的Servlet不需要拦截,否则会导致重定向循环。 下面是一个示例代码: 首先,创建过滤器类 `AuthenticationFilter`:</think># JSP页面权限控制实现方案 要实现JSP页面的权限控制,确保未登录用户无法访问,可以通过以下两种主要方式实现: ## 方案一:使用过滤器(Filter)实现权限控制 这是最推荐的方式,通过过滤器统一拦截请求进行权限验证。 ```java // AuthFilter.java import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import java.io.IOException; @WebFilter(filterName = "AuthFilter", urlPatterns = {"*.jsp", "/protected/*"}) public class AuthFilter implements Filter { // 需要排除的URL列表(不需要登录即可访问) private static final String[] EXCLUDE_URLS = { "/login.jsp", "/register.jsp", "/error.jsp", "/css/", "/js/", "/images/" }; @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse res = (HttpServletResponse) response; HttpSession session = req.getSession(false); String path = req.getRequestURI().substring(req.getContextPath().length()); // 检查是否在排除列表中 if (isExcluded(path)) { chain.doFilter(request, response); return; } // 检查用户是否已登录 boolean isLoggedIn = (session != null && session.getAttribute("user") != null); if (!isLoggedIn) { // 未登录用户重定向到登录页面 res.sendRedirect(req.getContextPath() + "/login.jsp?redirect=" + URLEncoder.encode(path, "UTF-8")); return; } // 已登录用户继续访问 chain.doFilter(request, response); } private boolean isExcluded(String path) { for (String exclude : EXCLUDE_URLS) { if (path.startsWith(exclude)) { return true; } } return false; } // 其他Filter方法实现... } ``` ## 方案二:在JSP页面顶部添加权限检查 在需要保护的JSP页面顶部添加权限验证代码: ```jsp <%@page import="java.net.URLEncoder" %> <% // 检查用户是否登录 Object user = session.getAttribute("user"); if (user == null) { // 获取当前请求URL String requestURI = request.getRequestURI(); String queryString = request.getQueryString(); String redirectURL = requestURI + (queryString != null ? "?" + queryString : ""); // 重定向到登录页面 response.sendRedirect(request.getContextPath() + "/login.jsp?redirect=" + URLEncoder.encode(redirectURL, "UTF-8")); return; // 停止执行后续页面内容 } %> ``` ## 方案三:使用JSP自定义标签实现权限控制 创建自定义标签库简化权限控制: ```java // AuthTag.java import javax.servlet.jsp.JspException; import javax.servlet.jsp.JspTagException; import javax.servlet.jsp.tagext.TagSupport; import java.io.IOException; public class AuthTag extends TagSupport { @Override public int doStartTag() throws JspException { try { Object user = pageContext.getSession().getAttribute("user"); if (user == null) { String redirect = pageContext.getRequest().getRequestURI(); pageContext.getResponse().sendRedirect( pageContext.getServletContext().getContextPath() + "/login.jsp?redirect=" + java.net.URLEncoder.encode(redirect, "UTF-8") ); return SKIP_PAGE; } return EVAL_BODY_INCLUDE; } catch (IOException e) { throw new JspTagException("Error in AuthTag: " + e.getMessage()); } } } ``` 在TLD文件中注册标签: ```xml <!-- WEB-INF/tags.tld --> <taglib> <tlib-version>1.0</tlib-version> <jsp-version>2.0</jsp-version> <short-name>auth</short-name> <uri>/WEB-INF/tags/auth.tld</uri> <tag> <name>requireLogin</name> <tag-class>com.example.AuthTag</tag-class> <body-content>scriptless</body-content> </tag> </taglib> ``` 在JSP中使用: ```jsp <%@ taglib prefix="auth" uri="/WEB-INF/tags/auth.tld" %> <auth:requireLogin /> <!-- 页面内容 --> ``` ## 登录处理Servlet示例 ```java // LoginServlet.java @WebServlet("/login") public class LoginServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String username = request.getParameter("username"); String password = request.getParameter("password"); // 验证用户凭证(实际应用中应使用数据库验证) if ("admin".equals(username) && "password".equals(password)) { // 创建会话并存储用户信息 HttpSession session = request.getSession(); session.setAttribute("user", username); // 重定向到原始请求或首页 String redirect = request.getParameter("redirect"); if (redirect != null && !redirect.isEmpty()) { response.sendRedirect(redirect); } else { response.sendRedirect(request.getContextPath() + "/index.jsp"); } } else { // 登录失败,返回登录页 request.setAttribute("error", "无效的用户名或密码"); request.getRequestDispatcher("/login.jsp").forward(request, response); } } } ``` ## 登录页面示例 (login.jsp) ```jsp <%@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head> <title>登录</title> </head> <body> <h2>请登录</h2> <%-- 显示错误信息 --%> <c:if test="${not empty error}"> <div style="color:red;">${error}</div> </c:if> <form action="${pageContext.request.contextPath}/login" method="post"> <input type="hidden" name="redirect" value="${param.redirect}"> <div> <label>用户名:</label> <input type="text" name="username" required> </div> <div> <label>密码:</label> <input type="password" name="password" required> </div> <button type="submit">登录</button> </form> </body> </html> ``` ## 方案对比 | 方案 | 优点 | 缺点 | 适用场景 | |------|------|------|----------| | **过滤器** | 集中控制,维护方便 | 需要配置排除路径 | 推荐方案,适合所有JSP页面保护 | | **JSP顶部检查** | 简单直接 | 需要在每个页面添加代码 | 少量页面保护 | | **自定义标签** | 可复用,代码简洁 | 需要创建标签库 | 需要复用权限检查逻辑的场景 | ## 最佳实践建议 1. **使用过滤器作为主要方案**:集中管理权限控制逻辑 2. **合理设置会话超时**:在web.xml中配置会话超时时间 ```xml <session-config> <session-timeout>30</session-timeout> <!-- 30分钟 --> </session-config> ``` 3. **安全退出**:提供注销功能 ```jsp <a href="${pageContext.request.contextPath}/logout">退出</a> ``` ```java // LogoutServlet.java @WebServlet("/logout") public class LogoutServlet extends HttpServlet { protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { HttpSession session = request.getSession(false); if (session != null) { session.invalidate(); // 销毁会话 } response.sendRedirect(request.getContextPath() + "/login.jsp"); } } ``` 4. **防止会话固定攻击**:登录成功后重新生成会话ID ```java // 登录成功后 request.getSession().invalidate(); // 使旧会话失效 HttpSession newSession = request.getSession(true); // 创建新会话 newSession.setAttribute("user", username); ``` 5. **使用HTTPS**:保护登录凭证传输安全
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值